"Your Privacy is in Danger" Virus, Trojaner

  • geschlossen

  • TheDragon
  • 1753 Aufrufe 9 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • "Your Privacy is in Danger" Virus, Trojaner

    hi

    seit gestern habe ich das problem, dass sich :

    mein bildschirmhintergrung immer ändert. (roter hintergrung, da steht Your Privacy is in Danger)
    ständig pop ups kommen, laden sie das runter blablabla um das problem / Virus zu beheben
    ständig Errors...
    an der Tastleiste ein rotes kreuz das ständig blinkt...

    wollte jezz mal fragen wie ich das beheben kann ohne mein pc zu formatieren??

    habe schon etliche programme durchlaufen lassen (Spybot, Ad-Aware, Tune up )



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:01:13, on 20.04.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
    C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
    C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Programme\DAEMON Tools\daemon.exe
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\programme\steam\steam.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\ICQ6\ICQ.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Arcor Content
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Arcor Content
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Arcor Content
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Arcor Content
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = MSN.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
    R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O3 - Toolbar: (no name) - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - (no file)
    O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file)
    O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programme\Coolstreaming_Tool-Bar_v1.0\tbCoo1.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O3 - Toolbar: qtvglped - {3D91099B-562D-49EC-BDBD-78C5DE9CAED9} - C:\WINDOWS\qtvglped.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb11.exe
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [0ca057a8] rundll32.exe "C:\WINDOWS\system32\jooqymig.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-2330243363-1968627183-106975948-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-2330243363-1968627183-106975948-1005\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Programme\Paltalk Messenger\Paltalk.exe (file missing)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\TheDragon\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/…tatsPAClient.cab31267.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - dl.tvunetworks.com/TVUAx.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
    O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/…rStatsClient.cab31267.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - messenger.zone.msn.com/binary/ZIntro.cab53083.cab
    O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - messenger.zone.msn.com/binary/Bankshot.cab31267.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com/binary/…tatsPAClient.cab56907.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3F9EF292-E256-4624-AE2E-C83A914C83B0}: NameServer = 208.67.220.220,208.67.222.222
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4BE79C3E-30B4-44CA-8C72-04831AB7621F}: NameServer = 208.67.220.220,208.67.222.222
    O17 - HKLM\System\CCS\Services\Tcpip\..\{73013387-F47C-4A8A-913B-2F67CCC7AA94}: NameServer = 208.67.220.220,208.67.222.222
    O17 - HKLM\System\CCS\Services\Tcpip\..\{93627F06-F1DF-4D05-A563-50B4AA39991B}: NameServer = 85.255.113.122,85.255.112.62
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E08290F6-1D73-4910-934C-E49D93BF4EB8}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3F9EF292-E256-4624-AE2E-C83A914C83B0}: NameServer = 208.67.220.220,208.67.222.222
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
    O21 - SSODL: pmsoarbf - {02D5E506-915B-4BD5-AB2D-85D8BB2BA850} - C:\WINDOWS\pmsoarbf.dll
    O21 - SSODL: omlbpkaw - {5FCA8E79-1F28-48B8-A46A-EA97F7D8369D} - C:\WINDOWS\omlbpkaw.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

    --
    End of file - 12564 bytes
    Fujitsu Siemens XI 1526
    Dual Core (2x1.70Ghz)
    2048mb ram
    Geforce Go 7600

  • So Du startest jetzt Hijack this und machst einen scan.Dann klickst Du links in den Kästchen folgende Sachen an.

    O4 - HKLM\..\Run: [0ca057a8] rundll32.exe "C:\WINDOWS\system32\jooqymig.dll",b

    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm


    So kennst Du diese IP Adresse ?
    85.255.113.122,85.255.112.62

    wenn nicht dann auch anklicken.
    O17 - HKLM\System\CCS\Services\Tcpip\..\{93627F06-F1DF-4D05-A563-50B4AA39991B}: NameServer = 85.255.113.122,85.255.112.62

    Nun klickst Du unten auf Fixed Cheked.

    Danach solltest Du Deine Systemwiederherstellung in der Systemsteuerung,deaktivieren.Auf allen Laufwerken.Dann startest Du den PC im Abgesicherten Modus.Beim Booten Taste F8 drücken.
    Im abgesicherten Modus lässt Du am besten Kaspersky Antivirus Deinen ganzen PC scannen.
    Es reicht die 30 Tage Testversion.Dazu aber alle anderen Antivirus Programme Deaktivieren oder Deinstallieren.
    Dann auch im Abgesicherten Modus Adaware oder Spybot Search and Destroy den PC scannen lassen.

    Dann Berichtest Du hier,ob sich etwas verbessert hat.

    Greetz
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]

  • Firecat schrieb:

    So Du startest jetzt Hijack this und machst einen scan.Dann klickst Du links in den Kästchen folgende Sachen an.

    O4 - HKLM\..\Run: [0ca057a8] rundll32.exe "C:\WINDOWS\system32\jooqymig.dll",b

    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

    Fixen bringt in diesem Falle (und auch sonst), überhaupt nix, es deaktiviert ja nur die relevanten Einträge...


    So kennst Du diese IP Adresse ?
    85.255.113.122,85.255.112.62

    wenn nicht dann auch anklicken.
    O17 - HKLM\System\CCS\Services\Tcpip\..\{93627F06-F1DF-4D05-A563-50B4AA39991B}: NameServer = 85.255.113.122,85.255.112.62


    Dein ganzer Traffic wird über einen ukrainischen Server umgeleitet, was glaubst du, was die mit deinen Daten machen...

    Die "Viruswarnungen" bringst du nicht mit Spybot weg, sondern lasse Combofix und anschliessend Smitfraudfix laufen! (Googeln).
    Aber mein Standpunkt ist hier klar (siehe unten).


    Dann Berichtest Du hier,ob sich etwas verbessert hat.


    Das einzige was sich evt. noch verbessern könnte, wäre, das die "Viruswarnungen" verschwinden, aber aus meiner Sicht ist das Sys kompromittiert und sollte neuaufgesetzt werden...

    Mfg

  • @Ineedhelp!2nd

    mit fixen im hijacker bringt schon etwas :)
    es wird erstmal deaktiviert und danach kann man hand anlegen
    ( natürlich auch die pfade merken) und diese aus der registry entfernen.
    ist zwar etwas arbeit,aber dabei lernt man sein system besser:)

    und warum immer gleich mit der brechstange ins haus wenn die tür nicht aufgeht? so ist das auch mit windows
    man muß es nicht immer platt machen :)es geht auch so

    @the dragon

    freut mich das alles wieder lüpt :)
    hier ist noch eine nette hilfe fürs nächste mal

    es gibt ein tut von Firecat beim sektios start :)

    dann kannste ja hier auf erledigt stellen oder?


    gruß wakiya:drum:

  • diese Anwendung soll in genau diesem Fall helfen. Ein Kumpel hat genau das Problem. Damit versuche ich nun das Problem zu lösen
    hoffe es klappt

    das kann sein das dies funktioniert... augenscheinlich funktionierte es ... dann hat er wieder seitenweise Pornoseiten aufgemacht

    der Glaube stirbt zuletzt